IT-Governance in der Praxis (eBook)

Andreas Rüter ist seit 2006 als Partner bei der Grazia Equity GmbH. Sein Berufsleben startete er als Fertigungsingenieur bei einem Dieselmotoren-Hersteller in Kapstadt, Südafrika. Andreas Rüter war dann für einen IT Service Provider tätig bevor er 1994 in die Management- und Technologie-Beratung Booz Allen Hamilton eintrat. Andreas Rüter hat zuletzt als Geschäftsführer und Partner die Technologie-Practice von Booz & Company in Europa geleitet und war Mitglied des weltweiten Global IT Management Committee sowie des European Board. Andreas Rüter ist u.a. Aufsichtsrat der Reldata Inc. (USA). Die Schwerpunkte seiner Tätigkeit bei der Grazia Equity GmbH liegen in der Entwicklung von innovativen Technologie-Unternehmen aus den Bereichen CleanTech, IT und neue Medien. Als freier Berater oder Manager auf Zeit unterstützt Jürgen Schröder Firmen bei der Optimierung und der Neuausrichtung der Informationstechnologie. Er war von 1998 bis 2007 als Chief Information Officer (CIO) der Schering AG in Berlin für die weltweiten IT-Aktivitäten des Pharmakonzerns verantwortlich. Nach dem Studium der Betriebswirtschaftslehre war er zunächst neun Jahre bei Ford in Köln und London als Systemanalytiker, Systemprogrammierer und Datenbankadministrator beschäftigt. Anschließend übernahm er als Manager bei Sony Europa die Leitung des Bereichs Systemanalyse. 1991 wechselte er als Leiter Organisation und DV zur Sandoz in Nürnberg. Bei der Novartis AG (hervorgegangen aus der Fusion Sandoz/Ciba) leitete er zuletzt den Bereich Controlling und Planung.

Geleitwort 5
Vorwort der Herausgeber zur 2. Auflage 7
Vorwort der Herausgeber zur 1. Auflage 9
Inhaltsverzeichnis 12
Autorenverzeichnis 15
Herausgeber 15
Andreas Rüter 15
Jörgen Schröder 15
Dr. Axel Göldner 16
Jens Niebuhr 16
Autorenteam 16
Olaf Acker 16
Carsten Andresen 16
Uwe Bartels 17
Matthias Bauer 17
Dr. Stefan Behrens 17
Jörg Böckmann 17
Dr. Markus Böhm 17
Eiko Ermold 18
Joachim Glass 18
Dr. Florian Gröne 18
Johannes Liffers 18
Dr. Germar Schröder 19
Einleitung 20
1 Corporate Governance 25
2 Die vernderte Rolle der IT im Unternehmen 30
2.1 Der verkannte Produktionsfaktor 30
2.2 Die Folgen der digitalen Revolution 31
2.3 Die Industrialisierung der Informationsverarbeitung 32
2.4 Der Druck zur permanenten Vernderung und Anpassung 33
2.5 Die digitale Identitt 34
2.6 Der Einfluss rechtlicher oder regulatorischer Anforderungen 35
2.6.1 Die Verarbeitung personenbezogener Daten und Datenschutz 36
2.6.2 Anforderungen an die Datensicherheit 37
2.6.3 Spezielle Anforderungen der Gesundheitsbehörden 39
Die Infrastruktur im Fokus 40
Das Qualitütsmanagementsystem für die Infrastruktur 40
2.7 Fazit 41
3 IT-Governance 42
3.1 IT-Governance: Definitionen und Modelle 43
3.1.1 Center for Information System Research (CISR) 44
3.1.2 IT Governance Institute (ITGI): CobiT 45
3.1.3 Office of Government Commerce (OGC): ITIL 47
3.1.4 ISO/IEC: 17799 48
3.1.5 Weitere Modelle 48
3.2 Einordnung der IT-Governance-Modelle 49
3.3 Unser Verstndnis von IT-Governance in der Praxis 51
3.4 Die Umsetzung in einem Projekt 52
4 Entscheidungsdomnen der IT-Governance 57
4.1 IT-Strategie 58
4.1.1 Einleitung 58
4.1.2 Welche Entscheidungen sind zu treffen? 61
Ableitung der IT-Implikationen aus der Geschäftsstrategie 61
Vision, Selbstverständnis und Positionierung der IT 62
Implikationen auf die Konzern-IT-Architektur 65
Implikationen auf die Sourcing-Strategie 66
Implikationen auf Konzern-IT-Organisation, Prozesse und Services 67
Implikationen auf HR-Maßnahmen und Programme 68
Implikationen auf die IT-Budgetplanung 69
Review/Bestimmung der Messung der IT-Strategieeinhaltung 69
4.1.3 Wer trifft die Entscheidungen? 70
4.1.4 Wie werden die Entscheidungen getroffen? 72
4.2 IT-Portfoliomanagement 73
4.2.1 Einleitung 73
4.2.2 Welche Entscheidungen sind zu treffen? 74
4.2.3 Wer trifft die Entscheidungen? 76
4.2.4 Wie werden die Entscheidungen getroffen? 77
4.3 IT-Architektur 81
4.3.1 Einleitung 82
4.3.2 Welche Entscheidungen sind zu treffen? 85
4.3.2.0 Die Business-Anforderungen und Business-Architektur 86
4.3.2.0 Die funktionale Architektur 86
4.3.2.0 Die technische Architektur 88
4.3.3 Wer trifft die Entscheidungen? 89
4.3.4 Wie werden die Entscheidungen getroffen? 91
Beispiel: Organisationsweite Harmonisierung CRM 92
Beispiel: Service Oriented Architectures 93
4.4 IT-Servicemanagement 95
4.4.1 Einleitung 95
4.4.2 Welche Entscheidungen sind zu treffen? 97
4.4.3 Wer trifft die Entscheidungen? 100
4.4.4 Wie werden die Entscheidungen getroffen? 103
4.5 IT-Sourcing 108
4.5.1 Sourcing-Modelle 109
4.5.2 Governance-Beteiligte und Entscheidungsfindung 111
4.5.3 Beispiel: Global Technology Partnership 113
Überblick 113
Herausforderung 113
Lösung 113
Ergebnisse 114
4.5.4 Beispiel: Make or Buy 115
Überblick 115
Herausforderung 115
Lösung 115
Ergebnisse 115
4.5.5 Fazit 116
4.6 IT-Budget 116
5 Relevante Themen der IT-Governance 121
5.1 Der SarbanesOxley Act Section 404 in der IT 121
5.1.1 Grundlagen 122
Der Sarbanes--Oxley Act 122
SOX in der Schering AG 123
SOX und IT 125
SOX und (IT-) Governance 125
COSO und CobiT 126
Vorhandene Prozesse und Kontrollstrukturen 128
ITIL 128
IT-Risikomanagement basierend auf der ISO/IEC 17799 128
IT-Systeme/Applikationen im GMP 6 Umfeld 129
5.1.2 Risk Assessment 129
Der SOX-Prozess im Überblick 129
Prozesse und Sub-Prozesse 130
Kontrollziele, Risiken und Kontrollen 133
Kontrolltypen 134
Kontrollbeschreibungen 137
Prüfung des Kontrollentwurfes 138
Effektivitätstest 138
Klassifizierung von Defiziten 140
Risikobeurteilung und Sign-Off 141
5.1.3 Prüfung des internen Kontrollsystems 143
Prüfung der Kontrollen 143
IT-Prüfungsschwerpunkte 145
5.1.4 Vom Projekt zur Daueraufgabe 146
5.1.5 Fazit 147
5.2 Die Einrichtung eines Risikomanagementsystems in der IT 148
5.2.1 Die Anforderungen 149
5.2.2 Die Bedrohungen 149
5.2.3 Die Konsequenzen 150
5.2.4 Die Lösung 151
5.2.5 Der Rahmen 152
5.2.6 Der Prozess 153
Erstellen und Implementieren von Regeln 153
Analyse und Bewertung der Risiken 155
Risikobewusstsein schaffen 157
Die Berichterstattung 157
Das Ergebnis 160
5.2.7 Die Herausforderungen 161
5.2.8 Die Aussichten 162
5.3 IT-Governance als Katalysator fr erfolgreiche Post-Merger-Integrationen 162
5.3.1 Ausgangslage 162
5.3.2 IT-Integrationsstrategie und IT-Governance 164
5.3.3 Rollen und Verantwortlichkeiten der IT im PMI-Prozess 165
``Functional Analyst`` in der Pre-Merger-Phase 165
``Change Manager`` in der Post-Merger-Phase 166
5.3.4 Erfolgsfaktoren für eine IT-PMI-Governance 167
5.4 Konsolidierung Synergieerschlieung in internationalen Konzernen 168
5.4.1 Beschreibung Ausgangssituation 168
5.4.2 Ziele und Ansatzpunkte der Konsolidierung 169
5.4.3 GrundsÜtzliche Überlegungen zur Konsolidierung 170
5.4.4 Umsetzung und Maßnahmen 172
Business Integration 172
Definition eines Transformations-Fahrplans 173
Implementierung eines Change-Management-Programms 175
5.5 Governance Voraussetzung fr robustes Wachstum 176
5.5.1 IT als Wachstumsbremse? 176
5.5.2 Ausgangslage 177
5.5.3 Ansatzpunkte für die Governance-Neugestaltung 179
5.5.4 Ergebnisse und Fazit 182
5.6 Demand Management das Eingangstor zur IT 183
5.6.1 Vom Business Case zur mehrdimensionalen Steuerung 185
5.6.2 Der richtige Projekt-Mix ü Demand Management auf dem Prüfstand 188
Fokus auf interne Kunden 188
Demand Management von der IT auf das gesamte Unternehmen ausdehnen 189
5.7 Governance Erfolgsfaktor im Outsourcing 189
5.7.1 Die Problematik von Outsourcing-Governance 190
Outsourcing als Querschnittsthema in der IT-Governance 190
Governance als Erfolgsfaktor im Outsourcing 190
5.7.2 Mechanismen der Outsourcing-Governance 192
Verträge 192
Strukturen 193
Prozesse 195
Beziehungsprotokolle 197
5.7.3 Gestaltung von Outsourcing-Governance 198
Einflussfaktoren der Governance-Gestaltung 198
Idealtypische Governance-Konfigurationen 16 199
5.7.4 Erfolgskontrolle im Outsourcing 201
5.7.5 Fazit 203
5.8 Organisation und Fhrungskultur 203
5.8.1 Welche Leadership-Föhigkeiten werden för eine funktionierende IT-Governance benötigt? 204
5.8.2 Welche Bedeutung hat die Unternehmenskultur? 206
IT-Manager beurteilen eigene Organisation negativer als der Durchschnitt 207
Zu wenig Informationen, unklare Kompetenzen 208
Governance als Regelwerk für den Erfolg 209
IT braucht Informations- und Steuerungsinstrumente 210
Organisations-Design und organisatorische Fitness 210
5.9 Herstellung und Nachweis der IT-Compliance 212
5.9.1 Gesetzliche und regulatorische Vorgaben für die IT 213
Anforderungen an den Umgang mit Risiken 214
Klassifikation der Anforderungen und Regelungen für die IT 217
Compliance als Zustand nachweisbarer Vorgabenkonformität 221
Herausforderungen beim Umgang mit der IT-Compliance 224
5.9.2 Internes Kontrollsystem für die IT 228
Grundlegende Begriffe und konzeptioneller Rahmen 229
Aufbau eines Internen Kontrollsystems (IKS) 229
Angemessenheit und Wirksamkeit eines IKS 231
Ausgestaltung eines Kontrollsystems für die IT 231
5.9.3 Risikoorientierte Prüfung von IT-Systemen 234
5.9.3.0 Einsatz der IT im Finanz- und Rechnungswesen 234
Jahresabschluüprüfung beim Einsatz von IT 235
Notwendigkeit einer IT-Systemprüfung 235
Anforderungen an Ordnungsmßßigkeit und Sicherheit der IT 236
Gestaltung des Prüfungsansatzes für IT-Systeme 237
Vorgehensweise der risikoorientierten IT-Systemprüfung 238
5.9.4 Nachhaltige Compliance durch Governance der IT 240
Bedeutung wirkungsvoller IT-Governance 241
Nutzenpotentiale erfolgreich umgesetzter IT-Compliance 242
5.10 IT-Sicherheit Compliance 242
5.10.1 Konsens ä Komplexität 242
5.10.2 Gesetze, Standards, Definitionen 244
Deutsche gesetzliche Anforderungen und Interpretationen 244
Internationale gesetzesnahe Standards 247
Sonstige Normen und Standards 249
Vom Gesetz zur Praxis 250
5.10.3 IT-Sicherheitsprozesse und -strukturen 252
IT-Sicherheitsstrategie und -programm 253
IT-Sicherheitsmanagement 255
Notfallplanung & -management
Compliance Monitoring & Reporting
5.10.4 Identity und Access Management 260
Identity Management 261
Access Management 267
Integration mit dem Compliance Monitoring und Reporting 272
5.10.5 IAM & Compliance in der Praxis
Die Projektdurchführung 274
Verankerung in der Organisation 278
Das Maß der Automatisierung 285
Die geeignete Software 287
5.10.6 Zusammenfassung 292
6 Ausblick 294
Literatur 296